DoSDeflateIptables

DoS Deflate 是一个轻量级阻止拒绝服务***的bash shell脚本。我们可以根据自己需要修改特定参数,来达到目的!
安装/卸载都很简单,分别执行下面三步就可以了:

目前创新互联公司已为近1000家的企业提供了网站建设、域名、虚拟主机、网站托管、服务器租用、企业网站设计、京口网站维护等服务,公司将坚持客户导向、应用为本的策略,正道将秉承"和谐、参与、激情"的文化,与客户和合作伙伴齐心协力一起成长,共同发展。

  1. wget http://www.inetbase.com/scripts/ddos/install.sh  
  2. chmod 0700 install.sh  
  3. ./install.sh  
  4.  
  5. wget http://www.inetbase.com/scripts/ddos/uninstall.ddos  
  6. chmod 0700 uninstall.ddos  
  7. ./uninstall.ddos 
  1. [root@localhost src]#less install.sh   
  2. #!/bin/sh  
  3. if [ -d '/usr/local/ddos' ]; then  
  4.         echo; echo; echo "Please un-install the previous version first"  
  5.         exit 0  
  6. else  
  7.         mkdir /usr/local/ddos  
  8. fi  
  9. clear  
  10. echo; echo 'Installing DOS-Deflate 0.6'; echo  
  11. echo; echo -n 'Downloading source files...'  
  12. wget -q -O /usr/local/ddos/ddos.conf http://www.inetbase.com/scripts/ddos/ddos.conf  
  13. echo -n '.'  
  14. wget -q -O /usr/local/ddos/LICENSE http://www.inetbase.com/scripts/ddos/LICENSE  
  15. echo -n '.'  
  16. wget -q -O /usr/local/ddos/ignore.ip.list http://www.inetbase.com/scripts/ddos/ignore.ip.list  
  17. echo -n '.'  
  18. wget -q -O /usr/local/ddos/ddos.sh http://www.inetbase.com/scripts/ddos/ddos.sh  
  19. chmod 0755 /usr/local/ddos/ddos.sh  
  20. cp -s /usr/local/ddos/ddos.sh /usr/local/sbin/ddos  
  21. echo '...done'  
  22.  
  23. echo; echo -n 'Creating cron to run script every minute.....(Default setting)'  
  24. /usr/local/ddos/ddos.sh --cron > /dev/null 2>&1  
  25. echo '.....done'  
  26.  
  27.  
  28. echo; echo 'Installation has completed.'  
  29. echo 'Config file is at /usr/local/ddos/ddos.conf'  
  30. echo 'Please send in your comments and/or suggestions to zaf@vsnl.com'  
  31. echo  
  32. cat /usr/local/ddos/LICENSE | less 

从install.sh可以看出DoS Deflate安装过程主要是下载四个文件(
ddos.conf    DoS Deflate配置文件
LICENSE    说明文件
ignore.ip.list   白名单文件
ddos.sh          核心安装脚本
)和执行/usr/local/ddos/ddos.sh --cron 这个脚本。

  1. [root@localhost src]# cat /usr/local/ddos/ddos.sh  
  2. #!/bin/sh  
  3. ##############################################################################  
  4. # DDoS-Deflate version 0.6 Author: Zaf                         #  
  5. ##############################################################################  
  6. # This program is distributed under the "Artistic License" Agreement         #  
  7. #                                                                            #  
  8. # The LICENSE file is located in the same directory as this program. Please  #  
  9. #  read the LICENSE file before you make copies or distribute this program   #  
  10. ##############################################################################  
  11. load_conf()  
  12. {  
  13.         CONF="/usr/local/ddos/ddos.conf" 
  14.         if [ -f "$CONF" ] && [ ! "$CONF" ==     "" ]; then  
  15.                 source $CONF  
  16.         else  
  17.                 head  
  18.                 echo "\$CONF not found."  
  19.                 exit 1  
  20.         fi  
  21. }  
  22. ##加载配置文件/usr/local/ddos/ddos.conf  
  23.  
  24. head()  
  25. {  
  26.         echo "DDoS-Deflate version 0.6"  
  27.         echo "Copyright (C) 2005, Zaf "  
  28.         echo  
  29. }  
  30. ##显示版本,作者信息  
  31.  
  32. showhelp()  
  33. {  
  34.         head  
  35.         echo 'Usage: ddos.sh [OPTIONS] [N]'  
  36.         echo 'N : number of tcp/udp     connections (default 150)'  
  37.         echo 'OPTIONS:'  
  38.         echo '-h | --help: Show this help screen'  
  39.         echo '-c | --cron: Create cron job to run this script regularly (default 1 mins)'  
  40.         echo '-k | --kill: Block the offending ip making more than N connections'  
  41. }  
  42. ##显示使用方式  
  43.  
  44. unbanip()  
  45. {  
  46.         UNBAN_SCRIPT=`mktemp /tmp/unban.XXXXXXXX`  
  47.         TMP_FILE=`mktemp /tmp/unban.XXXXXXXX`  
  48.         UNBAN_IP_LIST=`mktemp /tmp/unban.XXXXXXXX`  
  49.         echo '#!/bin/sh' > $UNBAN_SCRIPT  
  50.         echo "sleep $BAN_PERIOD" >> $UNBAN_SCRIPT  
  51.         if [ $APF_BAN -eq 1 ]; then  
  52.                 while read line; do  
  53.                         echo "$APF -u $line" >> $UNBAN_SCRIPT  
  54.                         echo $line >> $UNBAN_IP_LIST  
  55.                 done < $BANNED_IP_LIST  
  56.         else  
  57.                 while read line; do  
  58.                         echo "$IPT -D INPUT -s $line -j DROP" >> $UNBAN_SCRIPT  
  59.                         echo $line >> $UNBAN_IP_LIST  
  60.                 done < $BANNED_IP_LIST  
  61.         fi  
  62.         echo "grep -v --file=$UNBAN_IP_LIST $IGNORE_IP_LIST > $TMP_FILE" >> $UNBAN_SCRIPT  
  63.         echo "mv $TMP_FILE $IGNORE_IP_LIST" >> $UNBAN_SCRIPT  
  64.         echo "rm -f $UNBAN_SCRIPT" >> $UNBAN_SCRIPT  
  65.         echo "rm -f $UNBAN_IP_LIST" >> $UNBAN_SCRIPT  
  66.         echo "rm -f $TMP_FILE" >> $UNBAN_SCRIPT  
  67.         . $UNBAN_SCRIPT &  
  68. }  
  69. ##用于取消已经被禁止访问的ip  
  70.  
  71. add_to_cron()  
  72. {  
  73.         rm -f $CRON  
  74.         sleep 1  
  75.         service crond restart  
  76.         sleep 1  
  77.         echo "SHELL=/bin/sh" > $CRON  
  78.         if [ $FREQ -le 2 ]; then  
  79.                 echo "0-59/$FREQ * * * * root /usr/local/ddos/ddos.sh >/dev/null 2>&1" >> $CRON  
  80.         else  
  81.                 let "START_MINUTE = $RANDOM % ($FREQ - 1)"  
  82.                 let "START_MINUTE = $START_MINUTE + 1"  
  83.                 let "END_MINUTE = 60 - $FREQ + $START_MINUTE"  
  84.                 echo "$START_MINUTE-$END_MINUTE/$FREQ * * * * root /usr/local/ddos/ddos.sh >/dev/null 2>&1" >> $CRON  
  85.         fi  
  86.         service crond restart  
  87. }  
  88. ##执行主程序,生成crontab,在安装的时候执行一次  
  89.  
  90.  
  91. load_conf  
  92. while [ $1 ]; do  
  93.         case $1 in  
  94.                 '-h' | '--help' | '?' )  
  95.                         showhelp  
  96.                         exit  
  97.                         ;;  
  98.                 '--cron' | '-c' )  
  99.                         add_to_cron  
  100.                         exit  
  101.                         ;;  
  102.                 '--kill' | '-k' )  
  103.                         KILL=1 
  104.                         ;;  
  105.                  *[0-9]* )  
  106.                         NO_OF_CONNECTIONS=$1  
  107.                         ;;  
  108.                 * )  
  109.                         showhelp  
  110.                         exit  
  111.                         ;;  
  112.         esac  
  113.         shift  
  114. done  
  115.  
  116. TMP_PREFIX='/tmp/ddos' 
  117. TMP_FILE="mktemp $TMP_PREFIX.XXXXXXXX" 
  118. BANNED_IP_MAIL=`$TMP_FILE`  
  119. BANNED_IP_LIST=`$TMP_FILE`  
  120. echo "Banned the following ip addresses on `date`" > $BANNED_IP_MAIL  
  121. echo >> $BANNED_IP_MAIL  
  122. BAD_IP_LIST=`$TMP_FILE`  
  123. netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr > $BAD_IP_LIST  
  124. cat $BAD_IP_LIST  
  125. if [ $KILL -eq 1 ]; then  
  126.         IP_BAN_NOW=0 
  127.         while read line; do  
  128.                 CURR_LINE_CONN=$(echo $line | cut -d" " -f1)  
  129.                 CURR_LINE_IP=$(echo $line | cut -d" " -f2)  
  130.                 if [ $CURR_LINE_CONN -lt $NO_OF_CONNECTIONS ]; then  
  131.                         break  
  132.                 fi  
  133.                 IGNORE_BAN=`grep -c $CURR_LINE_IP $IGNORE_IP_LIST`  
  134.                 if [ $IGNORE_BAN -ge 1 ]; then  
  135.                         continue  
  136.                 fi  
  137.                 IP_BAN_NOW=1 
  138.                 echo "$CURR_LINE_IP with $CURR_LINE_CONN connections" >> $BANNED_IP_MAIL  
  139.                 echo $CURR_LINE_IP >> $BANNED_IP_LIST  
  140.                 echo $CURR_LINE_IP >> $IGNORE_IP_LIST  
  141.                 if [ $APF_BAN -eq 1 ]; then  
  142.                         $APF -d $CURR_LINE_IP  
  143.                 else  
  144.                         $IPT -I INPUT -s $CURR_LINE_IP -j DROP  
  145.                 fi  
  146.         done < $BAD_IP_LIST  
  147.         if [ $IP_BAN_NOW -eq 1 ]; then  
  148.                 dt=`date`  
  149.                 if [ $EMAIL_TO != "" ]; then  
  150.                         cat $BANNED_IP_MAIL | mail -s "IP addresses banned on $dt" $EMAIL_TO  
  151.                 fi  
  152.                 unbanip  
  153.         fi  
  154. fi  
  155. rm -f $TMP_PREFIX.* 

整个脚本判断的根据通过单个ip连接数,然后根据/usr/local/ddos/ddos.conf里面定义的NO_OF_CONNECTIONS的值判断有没有达到drop条件,如果达到再根据里面定义(APF_BAN默认是APF,如需要iptables需要改)使用:iptables或者APF来drop掉这个ip地址,让它在规定的时间内(由BAN_PERIOD定义)无法访问该服务器。可以看出整个脚本如果使用iptables过滤的话是很简单的,完全自己可以写一个脚本来实现上面功能。

  1. #!/bin/bash  
  2.  
  3. NO_OF_CONNECTIONS=100 
  4. BLACKLIST=/var/tmp/black  
  5. WHITELIST=/var/tmp/white  
  6. #cat ${ACCCESS_LOG} | awk '{print $1}' | sort | uniq -c | sort -r -n | head -n 200 >> my_check  
  7.  
  8. if [ ! -f ${BLACKLIST} ]; then  
  9.     touch ${BLACKLIST}  
  10. fi  
  11.  
  12. if [ ! -f ${WHITELIST} ]; then  
  13.     touch ${WHITELIST}  
  14. fi  
  15.  
  16. while read Num Ipaddr ;do  
  17.     if [ $(grep -c $Ipaddr ${WHITELIST}) -ne 0 ]; then  
  18.         echo 'Allow IP:' $Ipaddr  
  19.         continue  
  20.     fi  
  21.     if [ $(grep -c $Ipaddr ${BLACKLIST}) -eq 0 ] ; then  
  22.         if [ $Num -gt $NO_OF_CONNECTIONS ];then  
  23.             echo 'Deny IP:' $Ipaddr   
  24.             echo $Ipaddr >> ${BLACKLIST}  
  25.             iptables -I INPUT -p tcp --dport 80 -s $Ipaddr -j DROP  
  26.         fi  
  27.     fi  
  28. done <<-'EOF'   
  29. `netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr`  
  30. EOF 

只是上面的脚本少了解封被禁止的ip过程,我个人认为解封没有太大意义.无论是DoS Deflate或者是上面我自己写的脚本,最重要的都是NO_OF_CONNECTIONS值设置。

iptables
iptables 四表五链

  1. iptables(nat,filter,mangle,raw)(INPUT,FORWARD,OUTPUT,PREROUTING,POSTROUTING)   
  2.     filter: INPUT, OUTPUT, FORWARD  
  3.     nat: PREROUTING, POSTROUTING, OUTPUT  
  4.     mangle: PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING  
  5. 规则管理类:  
  6.     -A  
  7.     -I   
  8.     -D   
  9.     -R   
  10. 链接管理类:  
  11.     -F, flush, 清空链  
  12.     -N, new,   新建链  
  13.     -X, delete, 删除自定义的空链  
  14.     -E, rename  
  15. 默认策略:  
  16.    -P, policy  
  17. 清空计数器:  
  18.     -Z, zero  
  19. 每条规则(包括默认策略)都有两个计数器:  
  20.     被此规则匹配到的所有数据包的个数;  
  21.     被此规则匹配到的所有数据包的大小之和;  
  22. 查看类:  
  23.     -L, list  
  24.     -n, numeric  
  25.     -v, verbose  
  26.     -vv  
  27.     -vvv  
  28.     -x, exactly  
  29.        --line-numbers   
  30. 基本匹配:  
  31.     -s SOURCE:IP, NETWORK  
  32.     -d DESTINATION:IP, NETWORK  
  33.     -p {tcp|udp|icmp}  
  34.     -i INTERFACE  
  35.     -o INTERFACE  
  36.    
  37. 扩展匹配:(调用iptables的模块,以便扩展iptables的匹配功能, -m)  
  38. 隐含扩展  
  39.     -p tcp   
  40.         --sport PORT  
  41.         --dport PORT  
  42.         --tcp-flags ACK,SYN,RST,FIN SYN = --syn  
  43. --tcp-flags ACK,SYN,RST,FIN SYN,ACK,RST,FIN  
  44. --sport 22:23  
  45.     
  46.     -p UDP  
  47.         --sport PORT  
  48.         --dport PORT  
  49.     -p icmp  
  50.        --icmp-type  
  51. 8: echo-request  
  52. 0: echo-reply   
  53.    
  54. 显式扩展:  
  55.    -m state --state NEW  
  56.   NEW  
  57.   ESTABLISHED  
  58.   INVALID  
  59.   RELATED  
  60.     
  61.     -m multiport   
  62.         --source-ports 22,53,80  
  63.         --destination-ports  
  64.         --ports  
  65.     
  66.     -m iprange  
  67.         --src-range  
  68.         --dst-range  
  69.      
  70.     -m limit  
  71.         --limit  
  72.         --limit-burst  
  73.      
  74.     -m string  
  75.         --algo bm|kmp  
  76.         --string "STRING"  
  77.    
  78. 处理动作  
  79.     -j   
  80.         ACCEPT  
  81.         DROP  
  82.         REJECT  
  83.         SNAT  
  84.         DNAT  
  85.         REDIRECT  
  86.         NASQUERADE 

基本操作举例:

  1. iptables -F    ##清空所有的链中的规则-F 仅仅是清空链中规则,并不影响 -P 设置的默认规则 ,故使用这条命令一定要小心。  
  2. iptables -t nat -F PREROUTING        ##把nat表中的PREROUTING链中的规则清空      
  3. iptables -t filter -A INPUT -s 172.16.0.0/16 -p udp --dport 53 -j DROP ##A插入一条规则默认放在最后一条      
  4. iptables -t filter -I INPUT -s 172.16.0.0/16 -p udp --dport 53 -j DROP ##I插入一条规则默认放在第一条      
  5. iptables -t filter -I INPUT 3 -s 172.16.0.0/16 -p udp --dport 53 -j DROP ##插入一条规则放在第三条     
  6. iptables -L -n --line-numbers ##查看iptables规则,并在每条规则前显示行号。     
  7. iptables -D INPUT 5    ## 删除INPUT 链的第五条规则  
  8. iptables -t nat -A PREROUTING -d 1.1.1.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.103:8080##DNAT 

自定义链应用:(先定义一个自定义链clean_in,然后把自定义链关联到主链上)

  1. iptables -N clean_in  
  2. iptables -A clean_in -d 255.255.255.255 -p icmp -j DROP  
  3. iptables -A clean_in -d 172.16.255.255 -p icmp -j DROP  
  4. iptables -A clean_in -p tcp ! --syn -m state --state NEW -j DROP  
  5. iptables -A clean_in -p tcp --tcp-flags ALL ALL -j DROP  
  6. iptables -A clean_in -p tcp --tcp-flags ALL NONE -j DROP  
  7. iptables -A clean_in -d 172.16.100.1 -j RETURN    
  8.  
  9. iptables -A INPUT -d 172.16.100.1 -j clean_in 

iptables高级应用:(使用iptables前需要了解tcp连接/断开过程和ip报文头部结构,tcp数据包头结构。)
##服务器(本地ip192.168.1.103)只允许22,53,80,443端口和本机通迅并拒绝本机向外主动发起请求(防C/S******)

  1. iptables -I INPUT 1 -m state --state ESTABLISHED -j ACCEPT   
  2. iptables -A INPUT -d 192.168.1.103 -p tcp -m multiport --destination-ports 22,53,80,443  -m state --state NEW -j ACCEPT   
  3. iptables -A OUTPUT  -m state --state ESTABLISHED -j ACCEPT   
  4. iptables -P INPUT DROP   
  5. iptables -P OUTPUT DROP 

##连接数限定(设置ssh连接单个ip不能超过2个,利用recent和state模块限制单IP在300s内只能与本机建立3个新连接。被限制五分钟后即可恢复访问。常用于防ddos***)

  1. iptables -I INPUT 1 -m state --state ESTABLISHED -j ACCEPT  
  2. iptables -I INPUT 2 -d 192.168.1.103 -p tcp --dport 22 -m state --state NEW -m connlimit ! --connlimit-above 2 -j ACCEPT   
  3. iptables -A INPUT  -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH  
  4. iptables -A INPUT  -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 300 --hitcount 2 --name SSH -j DROP  
  5. iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT   
  6. iptables -P INPUT DROP   
  7. iptables -P OUTPUT DROP 

##匹配数据包数限制(--limit 平均速率,--limit-burst峰值速率)

  1. iptables -I INPUT 1 -m state --state ESTABLISHED -j ACCEPT   
  2. iptables -A INPUT -d 202.75.219.205 -p tcp --dport 80 -m state --state NEW -m limit --limit 30/second --limit-burst 50 -j ACCEPT  
  3. iptables -A INPUT  -d 202.75.219.205 -p tcp -m state --state NEW -m multiport --destination-ports 22,53,80,443 -j ACCEPT  
  4. iptables -A OUTPUT   -m state --state ESTABLISHED -j ACCEPT    
  5. iptables -P INPUT DROP   
  6. iptables -P OUTPUT DROP 


 


标题名称:DoSDeflateIptables
网页地址:http://myzitong.com/article/jjcsgd.html